2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析实验四恶意代码分析

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

实验目的

1.监控自己系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
3.假定将来工作中觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

实验内容

系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

参考：schtask与sysmon应用指导

实际日志的分析还需要发挥下自己的创造力，结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得大家会什么用什么了。

恶意软件分析

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据（抓包分析）

基础问题

1. 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控

使用Windows自带的schtasks指令设置一个计划任务，指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息等；
通过sysmon工具，配置好想记录事件的文件，之后在事件查看器里找到相关日志文件查看；
使用任务管理器->进程，监视进程执行情况，查看是否有可疑程序运行。

2. 如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息

Systracer分析注册表差异、文件、运行进程等的不同；
virscan集合各种杀软，对指定文件进行分析定性。
Threatbook也就是老师上课所说的沙箱的一种，感觉比virscan检测出的信息更多些，而且还是网页版的很方便。

实验步骤

（一）系统运行监控

（1）使用计划任务

使用 schtasks 指令监控系统
在windows命令行下输入命令 schtasks /create /TN netstat5234 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > d: etstat5234.txt" 创建名为 netstat5234 的任务计划。

注：我在虚拟机里尝试了多次，但因权限问题没有成功，所以在自己的主机里完成此任务。我将 netstat5234.txt 和 netstat5234.bat 都放置在了D盘目录下。

> TN：Task Name，本例中是netstat5234
> SC: SChedule type,本例中是MINUTE,以分钟来计时。本例中设置为1分钟
> MO: MOdifier
> TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

（第一次创建忘了截图）

在桌面创建 netstat5234.txt

在其中写入以下内容：

date /t >> D:netstat5234.txt
time /t >> D:netstat5234.txt
netstat -bn >> D:netstat5234.txt

将后缀名改为.bat

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

在"开始"中，打开任务计划程序，点击任务计划程序库可以看到刚刚创建的任务 netstat5234 ，双击打开这个任务，在操作页面中进行编辑。

将程序或脚本改为刚才创建好的 netstat5234.bat 批处理文件。

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

可以修改相关设置，可关闭【只有在计算机使用交流电源时才启动此任务】

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

每隔一分钟就记录网络情况，可以打开 netstat5234.txt 进行查看

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

记录此时已足够进行分析，将这些数据导入Excel中。

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

【数据】->【自文本】->【导入文本文件】->【选择 netstat5234.txt 】

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

将"分隔符号"中所有种类选中

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

"列数据格式"选择常规

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

成功导入

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

生成数据透视图

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析

（2）使用sysmon工具监控系统

1. 确定监控对象。这里选择进程创建ProcessCreate、进程创建时间FileCreatTime、网络连接NetworkConnect、远程线程创建CreateRemoteThread。

2. 创建配置文件，我的配置文件如下：

20165234monconfig.txt

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

3.下载sysinternals。下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

2018-2019-2 《网络对抗技术》 Exp4 恶意代码分析
实验四恶意代码分析